利用PHP反序列化免杀D盾、安全狗等WAF软件

PHP反序列化介绍

在PHP进行反序列化时,会将序列化中的变量传入类中,并且调用__destuct等魔法函数。巧妙应用可达到免杀D盾,过安全狗等WAF软件的效果。

TestCode1:

输出:

xxxxO:1:"A":1:{s:4:"name";s:4:"xxxx";}

TestCode2:

输出:

wogaosuni

可以发现原来的变量已经被我们替换了。

利用反序列化写马绕过D盾等WAF

代码不做过多解释,啥子都能看明白

POST传参传入

GET传参传入:

效果

文章作者:f4ckweb,via